Stripe logo
Articles
0 Comments

Stripe logo

vuoden 2005 jälkeen yli 11 miljardia kuluttajatietoa on vaarantunut yli 8 500 tietomurrosta. Nämä ovat viimeisimmät numerot Privacy Rights Clearinghouse, joka raportoi tietomurroista ja tietoturvaloukkauksista, jotka vaikuttavat kuluttajiin vuodelta 2005.

kuluttajien tietojen turvallisuuden ja maksuekosysteemiin kohdistuvan luottamuksen parantamiseksi luotiin tietoturvan vähimmäisstandardi. Visa, Mastercard, American Express, Discover ja JCB perustivat vuonna 2006 Payment Card Industry Security Standards Councilin (PCI SSC) hallinnoimaan ja hallinnoimaan luottokorttitietoja käsittelevien yritysten turvallisuusstandardeja. Ennen PCI SSC: n perustamista näillä viidellä luottokorttiyhtiöllä oli kaikilla omat turvallisuusstandardiohjelmansa—jokaisella suurin piirtein samanlaiset vaatimukset ja tavoitteet. Ne banded together through the PCI SSC to yhdenmukaistaa yhden standardin politiikkaa, PCI tietoturvastandardit (tunnetaan PCI DSS) varmistaa perustason suojan kuluttajille ja pankeille Internet aikakaudella.

PCI-DSS: n ymmärtäminen voi olla monimutkaista ja haastavaa

jos liiketoimintamallisi vaatii sinua käsittelemään korttitietoja, saatat joutua täyttämään kaikki PCI-DSS: n 300+ – turvatarkastusta. PCI-neuvoston julkaisemassa virallisessa dokumentaatiossa on yli 1 800 sivua PCI-DSS: stä ja yli 300 sivua vain sen ymmärtämiseksi, mitä lomakkeita käytetään vaatimustenmukaisuuden vahvistamisessa. Pelkkä lukeminen veisi yli 72 tuntia.

tämän taakan helpottamiseksi Seuraavassa on vaiheittainen opas PCI-vaatimustenmukaisuuden validointiin ja ylläpitämiseen.

yleiskatsaus PCI-Tietoturvastandardista (PCI DSS)

PCI DSS on maailmanlaajuinen tietoturvastandardi kaikille tahoille, jotka tallentavat, käsittelevät tai lähettävät kortinhaltijan tietoja ja/tai arkaluonteisia todennustietoja. PCI DSS asettaa kuluttajansuojan perustason ja auttaa vähentämään petoksia ja tietomurtoja koko maksuekosysteemissä. Sitä sovelletaan kaikkiin organisaatioihin, jotka hyväksyvät tai käsittelevät maksukortteja.

PCI DSS compliance sisältää 3 tärkeintä asiaa:

  1. asiakkaiden luottokorttitietojen sisäänpääsyn käsittely, eli arkaluonteisten korttitietojen kerääminen ja välittäminen turvallisesti
  2. tietojen tallentaminen turvallisesti, mikä on kuvattu PCI-standardin 12 tietoturva-alueella, kuten salauksessa, jatkuvassa seurannassa ja korttitietojen saatavuuden turvatestauksessa
  3. vaadittujen turvavalvontatoimenpiteiden vuosittaisessa validoinnissa, joka voi sisältää lomakkeita, kyselylomakkeita, ulkoisen haavoittuvuuden skannauspalveluja ja kolmannen osapuolen tarkastuksia (katso alla olevasta askel askeleelta-oppaasta taulukko, jossa on neljä tasoa vaatimukset)

korttitietojen käsittely

jotkin liiketoimintamallit edellyttävät arkaluonteisten luottokorttitietojen suoraa käsittelyä maksuja hyväksyttäessä, kun taas toiset eivät. Yritykset, jotka eivät tarvitse käsitellä korttitietoja (esim, hyväksyä untokenized PANs maksusivulla) voidaan vaatia täyttämään kunkin 300+ turvatarkastukset PCI DSS. Vaikka korttitiedot kulkisivat palvelimillaan vain lyhyen hetken, yhtiön olisi hankittava, toteutettava ja ylläpidettävä tietoturvaohjelmistoja ja-laitteistoja.

jos yrityksen ei tarvitse käsitellä arkaluonteisia luottokorttitietoja, sen ei tarvitsekaan. kolmannen osapuolen ratkaisut (esim.Stripe-elementit) hyväksyvät ja tallentavat tiedot turvallisesti, mikä poistaa huomattavan monimutkaisuuden, kustannukset ja riskit. Koska korttitiedot eivät koskaan kosketa sen palvelimia, yhtiön tarvitsisi vahvistaa vain 22 turvatarkastusta, joista suurin osa on suoraviivaisia, kuten vahvojen salasanojen käyttäminen.

tietojen turvallinen säilyttäminen

jos organisaatio käsittelee tai tallentaa luottokorttitietoja, sen on määriteltävä kortinhaltijatietoympäristönsä (CDE) laajuus. PCI DSS määrittelee CDE: n henkilöiksi, prosesseiksi ja teknologioiksi, jotka tallentavat, käsittelevät tai lähettävät luottokorttitietoja—tai mihin tahansa siihen liitettyyn järjestelmään. Koska kaikki PCI DSS: n 300 + – turvallisuusvaatimukset koskevat CDE: tä, on tärkeää segmentoida maksuympäristö asianmukaisesti muusta liiketoiminnasta PCI-validoinnin soveltamisalan rajoittamiseksi. Jos organisaatio ei pysty sisältämään CDE: n soveltamisalaa rakeisella segmentoinnilla, PCI-turvatarkastukset koskisivat sen jälkeen jokaista yritysverkon järjestelmää, kannettavaa tietokonetta ja laitetta. Hyi!

vuosittainen validointi

riippumatta siitä, miten korttitiedot hyväksytään, organisaatioiden on täytettävä PCI-validointilomake vuosittain. Tapa, jolla PCI-vaatimustenmukaisuus on vahvistettu, riippuu useista tekijöistä, jotka on esitetty alla. Tässä on 3 skenaariota, joissa organisaatiota voidaan pyytää osoittamaan, että se on PCI-yhteensopiva:

  • Maksunkäsittelijät voivat pyytää sitä osana vaadittua raportointia maksukorttimerkeille
  • liikekumppanit voivat pyytää sitä edellytyksenä liiketoimintasopimusten tekemiselle
  • alustayrityksille (niille, joiden teknologia helpottaa verkkoasiointia useiden eri käyttäjäryhmien välillä), asiakkaat voivat pyytää sitä osoittamaan asiakkailleen käsittelevänsä tietoja turvallisesti

viimeisin tietoturva standardit, PCI DSS versio 3.2.1, sisältää 12 päävaatimusta, joissa on yli 300 osavaatimusta, jotka peilaavat turvallisuuden parhaita käytäntöjä.

    Rakenna ja ylläpidä turvallista verkkoa ja järjestelmiä

  1. Asenna ja ylläpidä palomuurikonfiguraatiota kortinhaltijan tietojen suojaamiseksi
  2. älä käytä myyjän toimittamia oletusarvoja järjestelmän salasanojen ja muiden turvaparametrien osalta

    3. suojaa kortinhaltijan tiedot

  3. suojaa kortinhaltijan tiedot
  4. salaa siirto kortinhaltijan tiedoista avoimissa tai julkisissa verkoissa

    5. säilytä haavoittuvuudenhallintaohjelma

  5. suojaa kaikki järjestelmät haittaohjelmilta ja päivitä säännöllisesti virustorjuntaohjelmisto
  6. kehitä ja ylläpidä tietoturvaa järjestelmät ja sovellukset

    7. toteuttavat tiukat kulunvalvontatoimenpiteet

  7. rajoittaa pääsyä kortinhaltijan tietoihin yrityksittäin tarve tietää
  8. tunnistaa ja todentaa pääsy järjestelmän osiin
  9. rajoittaa fyysistä pääsyä kortinhaltijan tietoihin

    10. säännöllisesti seurattava ja testattava verkkoja

  10. seurata ja seurata kaikkea pääsyä verkkoresursseihin ja kortinhaltijan tietoihin
  11. testaa tietoturvajärjestelmiä ja-prosesseja säännöllisesti

    12. säilytä tietoturvapolitiikka

  12. säilytä käytäntö, joka koskee kaikkien henkilöstö

jotta uusien yritysten olisi” helpompi ” vahvistaa PCI-vaatimustenmukaisuus, PCI-neuvosto loi yhdeksän erilaista lomaketta tai Itsearviointikyselyä (SAQs), jotka ovat osa koko PCI-DSS-vaatimusta. Temppu on mietitään, mikä on sovellettavissa tai onko tarpeen palkata PCI neuvoston hyväksymä tilintarkastaja tarkistaa, että jokainen PCI DSS turvallisuusvaatimus on täytetty. Lisäksi PCI neuvosto tarkistaa sääntöjä kolmen vuoden välein ja julkaisee inkrementaalisia päivityksiä ympäri vuoden, lisäämällä vielä dynaamisempaa monimutkaisuutta.

Step by step guide to PCI DSS v3.2.1 compliance

ensimmäinen askel PCI-vaatimustenmukaisuuden saavuttamisessa on tietää, mitkä vaatimukset koskevat organisaatiotasi. PCI-vaatimustenmukaisuustasoja on neljä, jotka perustuvat tyypillisesti liiketoimintaprosessiesi luottokorttitapahtumien määrään 12 kuukauden aikana.

koskee vaatimuksia
Taso 1
  1. organisaatiot, jotka käsittelevät vuosittain yli 6 miljoonaa Visa-tai MasterCard-maksutapahtumaa tai yli 2.5 miljoonaa American Expressille; tai
  2. ovat kokeneet tietomurron; tai
  3. minkä tahansa korttiyhdistyksen (Visa, Mastercard, jne.)
  1. pätevän Turvallisuusarvioijan (QSA) laatima Vuosiraportti vaatimustenmukaisuudesta (Roc)—joka tunnetaan yleisesti nimellä tason 1 arviointi paikan päällä—tai sisäinen tarkastaja, jos sen on allekirjoittanut yhtiön virkailija
  2. Quarterly network scan by Approved Scan Vendor (ASV)
  3. Attestation of Compliance (AOC) paikan päällä tehtäviä arviointeja varten on olemassa erityisiä lomakkeita kauppiaille ja palveluntarjoajille.
Taso 2 organisaatiot, jotka käsittelevät 1-6 miljoonaa kauppaa vuosittain
  1. vuotuinen PCI DSS-Itsearviointikysely (SAQ)—alla olevassa taulukossa on lyhyesti esitetty 9 SAQ—tyyppiä
  2. Quarterly network scan by Approved Scan Vendor (ASV)
  3. Attentation of Compliance (AOC) – jokaisella 9 SAQ: lla on vastaava AOC-lomake
Taso 3
  1. organisaatiot, jotka käsittelevät 20 000-1 miljoonaa verkkokauppaa vuosittain
  2. organisaatiot, jotka käsittelevät alle 1 miljoonaa tapahtumaa vuodessa
Taso 4
  1. organisaatiot, jotka käsittelevät vuosittain alle 20 000 verkkokauppaa; tai
  2. organisaatiot, jotka käsittelevät enintään 1 miljoonaa tapahtumaa vuodessa

tasoille 2-4 on olemassa erilaisia SAQ-tyyppejä riippuen maksun integrointimenetelmästä. Tässä lyhyt taulukko:

SAQ kuvaus
A

kortinhaltijat, jotka eivät ole läsnä (sähköinen kaupankäynti tai posti/puhelintilaus), jotka ovat ulkoistaneet kaikki kortinhaltijan tietotoiminnot PCI-DSS-yhteensopiville kolmannen osapuolen palveluntarjoajille, ilman kortinhaltijan tietojen sähköistä tallentamista, käsittelyä tai siirtämistä kauppiaan järjestelmissä tai tiloissa.

ei sovelleta kasvokanaviin.
A-EP

sähköisen kaupankäynnin kauppiaat, jotka ulkoistavat kaiken maksujen käsittelyn PCI DSS: n validoimille kolmansille osapuolille ja joilla on verkkosivusto(T), joka ei suoraan vastaanota kortinhaltijan tietoja, mutta joka voi vaikuttaa maksutapahtuman turvallisuuteen. Ei sähköistä tallennusta, käsittelyä tai kortin haltijan tietojen toimittamista kauppiaan järjestelmiin tai tiloihin.

sovelletaan ainoastaan sähköisen kaupankäynnin kanaviin.
B

vain kauppiaat:

  • painokoneet, joissa ei ole sähköistä kortinhaltijan tietojen tallennusta, ja / tai
  • itsenäiset soittopäätteet, joissa ei ole sähköistä kortinhaltijan tietojen tallennusta.

ei koske sähköisen kaupankäynnin kanavia.
B-IP

kauppiaat, jotka käyttävät vain itsenäisiä, PTS-hyväksyttyjä maksupäätteitä, joissa on IP-yhteys maksunkäsittelijään ja joissa ei ole sähköistä kortinhaltijan tietojen tallennusta.

ei koske sähköisen kaupankäynnin kanavia.
C-VT

kauppiaat, jotka syöttävät manuaalisesti yhden tapahtuman kerrallaan näppäimistön kautta Internetpohjaiseen virtuaaliseen maksupääteratkaisuun, jonka tarjoaa ja ylläpitää PCI DSS: n validoima kolmannen osapuolen palveluntarjoaja. Ei sähköistä kortinhaltijan tietojen tallennusta.

ei koske sähköisen kaupankäynnin kanavia.
C

kauppiaat, joilla on Internet-yhteys maksusovellusjärjestelmiin, ei sähköistä kortinhaltijan tietojen tallennusta.

ei koske sähköisen kaupankäynnin kanavia.
P2pe

kauppiaat, jotka käyttävät ainoastaan validoidun PCI SSC-listatun Point-to-Point Encryption (P2pe) – ratkaisun sisältämiä ja hallinnoimia maksupäätteitä, joissa ei ole sähköistä kortinhaltijan tietojen tallennusta.

ei koske verkkokaupan kauppiaita.
D

SAQ d kauppiaille: kaikki kauppiaat, jotka eivät sisälly edellä mainittujen SAQ-tyyppien kuvauksiin.

SAQ D palveluntarjoajille: kaikki palveluntarjoajat, jotka maksumerkki on määrittänyt kelpoisiksi suorittamaan SAQ: n.

voit valita SAQ ja todistusasiakirjat, jotka parhaiten soveltuvat organisaatioosi, vuokaavio sivulla 18 tämän PCI doc voi auttaa.

PCI-DSS-vaatimukset muuttuvat ajan myötä, joten yksi parhaista tavoista saada päivityksiä uusista tai muuttuvista sertifiointivaatimuksista ja niiden täyttämisestä on tulla PCI-Osallistujaorganisaatioksi (PO).

Kartoita tietovirtasi

ennen kuin voit suojata arkaluonteisia luottokorttitietoja, sinun on tiedettävä, missä ne elävät ja miten ne tulevat sinne. Sinun kannattaa luoda kattava kartta järjestelmistä, verkkoyhteyksistä ja sovelluksista, jotka ovat vuorovaikutuksessa luottokorttitietojen kanssa koko organisaatiossasi. Roolistasi riippuen sinun on todennäköisesti työskenneltävä IT-ja turvallisuusryhmäsi kanssa tehdäksesi tämän.

  • ensin yksilöitävä kaikki sen liiketoiminnan kuluttajakohtaiset alueet, johon liittyy maksutapahtumia. Voit esimerkiksi hyväksyä maksuja verkkokaupan ostoskorin, kaupan maksupäätteiden tai puhelimitse tehtyjen tilausten kautta.
  • seuraavaksi selvitetään eri tapoja, joilla kortinhaltijoiden tietoja käsitellään koko liiketoiminnassa. On tärkeää tietää tarkalleen, missä tiedot on tallennettu ja kenellä on niihin pääsy.
  • tämän jälkeen on yksilöitävä sisäiset järjestelmät tai niiden taustalla olevat tekniikat, jotka koskevat maksutapahtumia. Tämä sisältää verkkojärjestelmät, datakeskukset ja pilviympäristöt.

Tarkista turvaohjeet ja protokollat

kun olet kartoittanut kaikki mahdolliset kosketuspisteet luottokorttitietoja varten organisaatiossasi, työskentele IT-ja turvatiimien kanssa varmistaaksesi, että oikeat turvallisuuskokoonpanot ja protokollat ovat käytössä (katso yllä oleva luettelo PCI DSS: n 12 turvallisuusvaatimuksesta). Nämä protokollat on suunniteltu turvaamaan tiedonsiirto, kuten Transport Layer Security (TLS).

PCI DSS v3.2.1: n 12 turvallisuusvaatimusta perustuvat parhaisiin käytäntöihin arkaluonteisten tietojen suojaamiseksi kaikissa yrityksissä. Useat niistä ovat päällekkäisiä GDPR: n, HIPAA: n ja muiden tietosuojavaltuutusten kanssa, joten muutama niistä saattaa olla jo käytössä organisaatiossasi.

seuraa ja ylläpidä

on tärkeää huomata, että PCI-vaatimustenmukaisuus ei ole kertaluonteinen tapahtuma. Se on jatkuva prosessi sen varmistamiseksi, että yrityksesi pysyy vaatimustenmukaisena myös tietovirtojen ja asiakkaiden kosketuspisteiden kehittyessä. Jotkin luottokorttimerkit saattavat vaatia sinua toimittamaan neljännesvuosiraportit tai vuosiraportit tai suorittamaan vuosittaisen arvioinnin paikan päällä jatkuvan vaatimustenmukaisuuden vahvistamiseksi, erityisesti jos käsittelet yli 6 miljoonaa tapahtumaa vuosittain.

PCI-vaatimusten noudattaminen läpi vuoden (ja yli vuoden) vaatii usein osastojen välistä tukea ja yhteistyötä. Jos tätä ei ole jo olemassa, voi olla kannattavaa luoda sisäisesti oma tiimi, joka ylläpitää asianmukaisesti vaatimustenmukaisuutta. Vaikka jokainen yritys on ainutlaatuinen, hyvä lähtökohta ”PCI-tiimille” sisältäisi edustusta seuraavista:

  • turvallisuus: Chief Security Officer (CSO), Chief Information Security Officer (CISO) ja heidän tiiminsä varmistavat, että organisaatio investoi aina asianmukaisesti tarvittaviin tietoturva-ja yksityisyysresursseihin ja-käytäntöihin.
  • Technology / Payments: Chief Technology Officer (CTO), VP of Payments, ja heidän tiiminsä varmistavat, että ydintyökalut, integraatiot ja infrastruktuuri pysyvät vaatimusten mukaisina organisaation järjestelmien kehittyessä.
  • talous: talousjohtaja (Chief Financial Officer, CFO) ja heidän tiiminsä varmistavat, että kaikki maksutietovirrat otetaan huomioon, kun on kyse maksujärjestelmistä ja yhteistyökumppaneista.
  • Legal: tämä tiimi voi auttaa navigoimaan PCI DSS compliance-järjestelmän monissa oikeudellisissa vivahteissa.

lisätietoja PCI-vaatimustenmukaisuuden monimutkaisesta maailmasta löytyy PCI Security Standards Councilin verkkosivuilta. Jos luet vain tämän oppaan ja muutaman muun PCI-dokumentin, suosittelemme aloittamaan näistä: priorisoitu lähestymistapa PCI DSS: lle, SAQ-ohjeet ja ohjeet, usein kysytyt kysymykset SAQ-kelpoisuuskriteerien käyttämisestä paikan päällä tehtävien arviointivaatimusten määrittämiseksi ja usein kysytyt kysymykset kauppiaille, jotka kehittävät sovelluksia kuluttajalaitteille, jotka hyväksyvät maksukorttitiedot.

miten Stripe auttaa organisaatioita saavuttamaan ja ylläpitämään PCI-vaatimustenmukaisuutta

Stripe yksinkertaistaa merkittävästi PCI-taakkaa yrityksille, jotka integroivat Checkout, Elements, mobile SDKs ja Terminal SDKs. Stripe Checkout-ja Stripe-elementit käyttävät isännöityä maksukenttää kaikkien maksukorttitietojen käsittelyyn, joten kortinhaltija syöttää kaikki arkaluonteiset maksutiedot maksukenttään, joka on peräisin suoraan PCI DSS-validoiduilta palvelimiltamme. Stripe mobile ja Terminal SDK mahdollistavat myös sen, että kortinhaltija voi lähettää arkaluonteisia maksutietoja suoraan PCI DSS-varmennetuille palvelimillemme.

tällaisten turvallisempien korttien hyväksymismenetelmien avulla kansoitamme PCI-lomakkeen (SAQ) raidan kojelaudassa, jolloin PCI-validointi on yhtä helppoa kuin napin painalluksella. Pienemmille organisaatioille tämä voi säästää satoja työtunteja, suuremmille tämä voi säästää tuhansia.

kaikille käyttäjillemme integraatiotyypistä riippumatta Stripe toimii PCI: n puolestapuhujana ja voi auttaa muutamalla eri tavalla.

  • analysoimme integrointimenetelmäsi ja neuvomme, mitä PCI-lomaketta tulee käyttää ja miten voit vähentää vaatimustenmukaisuustaakkaasi.
  • ilmoitamme sinulle etukäteen, jos kasvava transaktiomäärä vaatii muutoksia siihen, miten vahvistat vaatimustenmukaisuuden.
  • suurille kauppiaille (Taso 1) tarjoamme PCI-paketin, joka voi lyhentää PCI-validointiaikaa kuukausista päiviin. Jos sinun on työskenneltävä PCI QSA :n kanssa (koska tallennat luottokorttitietoja tai sinulla on monimutkaisempi maksuvirta), on yli 350 tällaista QSA-yritystä ympäri maailmaa, ja voimme yhdistää sinut useiden tilintarkastajien kanssa, jotka ymmärtävät syvästi eri Stripe-integraatiomenetelmiä.
Visan Kauppiastaso Keskimääräinen tarkastusaika (vuosiennusteet) Keskimääräinen tarkastusaika Stripe-elementeillä, kassalla tai mobiililla SDK: lla (vuosiennusteet)
Taso 1 3-5 kuukautta 2-5 päivää
Taso 2 1-3 kuukautta 0 päivää
Taso 3 1-3 kuukautta 0 päivää
Taso 4 1-3 kuukautta 0 päivää

lisätietoja siitä, miten Stripe auttaa sinua suojaamaan asiakkaiden tiedot ja saavuttaa PCI-vaatimustenmukaisuus, tutustu docs noin integraatio turvallisuus.

johtopäätös

PCI-vaatimustenmukaisuuden arviointi ja validointi tapahtuu yleensä kerran vuodessa, mutta PCI — vaatimustenmukaisuus ei ole kertaluonteinen tapahtuma-se on jatkuvaa ja merkittävää arviointia ja korjaamista. Yrityksen kasvaessa myös ydinliiketoiminnan logiikka ja prosessit kehittyvät, mikä tarkoittaa myös vaatimustenmukaisuusvaatimusten kehittymistä. Verkossa toimiva yritys voi esimerkiksi päättää avata fyysisiä myymälöitä, tulla uusille markkinoille tai perustaa asiakastukikeskuksen. Jos jokin uusi liittyy maksukorttitietoihin, on hyvä tarkistaa ennakoivasti, onko tällä vaikutusta PCI-validointimenetelmääsi, ja vahvistaa PCI-vaatimustenmukaisuus tarpeen mukaan.

PCI-vaatimustenmukaisuus auttaa. Se ei vain riitä.

PCI DSS-ohjeiden noudattaminen on tarpeellinen suojakerros yrityksellesi-mutta se ei riitä. PCI DSS asettaa tärkeitä standardeja kortinhaltijan tietojen käsittelylle ja tallentamiselle, mutta ei itsessään tarjoa riittävää suojaa jokaiselle maksuympäristölle. Sen sijaan siirtyminen turvallisempaan korttien hyväksymismenetelmään (kuten Stripe Checkout, Elements ja mobile SDKs) on paljon tehokkaampi tapa suojata organisaatiotasi. Pitkäaikainen hyöty, jonka tämä tarjoaa, on se, että sinun ei tarvitse luottaa alan perustason standardeihin tai huolehtia turvatarkastusten mahdollisesta epäonnistumisesta. Tämä lähestymistapa tarjoaa ketterille yrityksille tavan lieventää mahdollista tietomurtoa ja välttää emotionaalista, aikaa vievää ja kallista historiallista lähestymistapaa PCI-validointiin. Puhumattakaan turvallisemmasta integraatiomenetelmästä, joka on luotettava vuoden jokaisena päivänä.

Takaisin oppaisiin

Vastaa

Sähköpostiosoitettasi ei julkaista.

More: